Slayer
нет файла
Slayer
не качает
kSandr
нет ошибки, просто проскакивает комманду и на этапе распаковки уже ошибка что файла с именем zimbra-zcs-8.8.15.tgz нет
а ты проверял, что файл там есть то фактически ?
kSandr
а хост с которого ты качаешь доступен ?
kSandr
а интернет то есть в контейнере ?
Slayer
я же написал сразу - «НЕ СКАЧИВАЕТ»
Slayer
в ручную из консоли - качает
kSandr
сеть траблшутить не пробовал а ?
Boris 🦍
kSandr
та докерфайл там непоможет если у него в системе жопа
George
Вообще интернет в контейнере есть ?
George
Днсы? Пингани?
George
Запросто может оказаться, ,то сайт под блокировкой РКН. На хосте одно зеркало открывается, в контейнере - другое
Slayer
все фигня, забыл папку создать куда скачивается файл 🙂
Slayer
в системе у меня все ровно, благо виртуальная 🙂
Slayer
по идее - должны была быть, но на этапе скачивания - ее не было, но да ладно, главное разобрался
kSandr
ну и хорошо
Roman
Привет. Нужна подсказка. Нужно запустить тесты на реальном андройд девайсе. Система винда 10 (использовать нужно именно hyper-v, не виртуал бокс). Связка maven+appium. Может существует какой-нибудь туториал или возможно уже готовый докер файл с такой связкой?
Anat🇺🇦
кто трезвый.. пропала сеть с контейнера - варианты :)?
Anat🇺🇦
конрейнеры между собой пингуются, сеть - болт
Рубикон
Испекцию на контейнеры и сети делал?
Anat🇺🇦
А трассировка че говорит
не я подымал ( сорян уже поднял рестартом докера, паника как всегда ) надо бегом и уже.. но симптом странный.. работает себе, то день то 3.. и падает, второй раз уже оО
Рубикон
эээ
Рубикон
А ты не пробовал докнр обновлять и курить их багатрекер?
Рубикон
Я там посмотрел .. посмотрел .. и подумал о роскомнадзоре...
Anat🇺🇦
опа.. а там есть гадости на сей счет?
Anat🇺🇦
да ладно )
Anat🇺🇦
сервер в de
Рубикон
https://github.com/moby/moby/issues
Рубикон
Там и ченджы .. Просто Агонь!
Andrey
подкиньте статей firewall + docker
Andrey
я задолбался велосипед строить :(
George
что не так?
George
самое простое - перекинуть вопрос управления правами на уровень инфраструктуры
George
vpc там, сети в vmware с nsx и пр
Andrey
нет инфраструктуры. есть серваки + docker swarm. на каждом сервере есть 1 внешний и 1 "внутрений" адрес. swarm работает на внутрених
Andrey
задача проста, казалось бы, запретить снаружи доступ на всё, кроме 80 и 443.
Andrey
ну и там ещё пара портов, но это по аналогии
Andrey
но у меня всё закончилось тем, что traefik не может теперь достучаться до поднятых "внутри" сервисов.
George
ну, логично. Ты сломал файрволл
George
🤷♂️
Andrey
не очень логично, конечно.
Andrey
@gecube но скажи пожалуйста, что ты имеешь ввиду под фразой «сломал firewall»?
kSandr
задача проста, казалось бы, запретить снаружи доступ на всё, кроме 80 и 443.
незнаю что-там со свармом , но я запрещал обычно так ...
iptables -I DOCKER -i eth0 ! -s 46.46.46.46 -p tcp --dport 27017 -j DROP
iptables -I DOCKER -i eth0 -s 78.78.78.78 -j ACCEPT
NM
iptables -I DOCKER -i eth0 -s 78.78.78.78 -j ACCEPT - весь трафик ?
Andrey
Andrey
я в итоге убрал дефолтный DROP в чейне FORWARD и INPUT - потом разберусь с этим
kSandr
а не docker-user?
в смысле docker-user ? ... это дроп в цепочку докеровскую, в офф мане это-же прописано
Andrey
и последним правилом написал что-то вроде iptables -I docker-user -i extif -j DROP
Andrey
в смысле docker-user ? ... это дроп в цепочку докеровскую, в офф мане это-же прописано
эээ.. я может немного косоглаз, но не видел этого. можно ткнуть в строчку?
Andrey
вот такая балалайка у меня получилась
kSandr
да , в офф мане DOCKER-USER
Andrey
init: https://paste.ubuntu.com/p/w475NQzm9H/
rules: https://paste.ubuntu.com/p/YCY9VQXv8v/
kSandr
я полагаю у меня устаревшие данные , я это делал года 2 назад.
пойду сейчас поковыряюсь в архивах докеровских, попытаюсь понять откуда ноги растут
George
@gecube но скажи пожалуйста, что ты имеешь ввиду под фразой «сломал firewall»?
Я поясню. Здесь два смысла. 1. Если ты вносишь правки в правила файрволла, то с хорошей степенью вероятности - он сбрасывает правила к дефолту. Потом только перезапуск докера
kSandr
но в целом похоже, что раньше цепочки DOCKER-USER небыло , ... и я депрекейтед правило сказал, которое тыкал ранее
George
но в целом похоже, что раньше цепочки DOCKER-USER небыло , ... и я депрекейтед правило сказал, которое тыкал ранее
Не было. С 18.09 вроде ввели
George
2. Смысл в том, что там очень сложно правильное правило построить. Чтобы ограничить доступ и не сломать взаимодействие между контейнерами
George
Я писал, но в зависимости от дистрибутива можно наблюдать разные спецэффекты. Например. Публикуешь порт через докер. В цепочке инпут у тебя либо дроп по дефолту, либо режект. Все работает. Но. Если пытаешься из контейнера сходить в другой по внешнему адресу кирдык. А с внешних узлов все ок. 🤦♂ загадка разгадана.. но настроить это еще тот гемор
George
Или вторая история. База данных на хостинге вне докера. Надо ограничить ее только для локалхоста и контейнеров. Ох как я намаялся подбирая правильную комбинацию правил
Andrey
дада. во взаимодействие в контейнерах без специального ПО лучше не лезть.
Andrey
ну то есть если лезть - то это, фактически, написать такое ПО
Andrey
но у меня был простой случай
Andrey
(относительно)
Andrey
так я уже выше всё написал
Ya
как вопрос задать что бы бот тебя не зафигарил ?
Dan
@antitrustx пишет:
Всем привет, ребзи есть какой то инструмент научить переменные в docker-compose использовать имя докер контейнера в котором она используется ? чтото типа this.name ?
Ya
Гугл ничего не сказал, может всемогущий all знает ?
George
@antitrustx пишет:
Всем привет, ребзи есть какой то инструмент научить переменные в docker-compose использовать имя докер контейнера в котором она используется ? чтото типа this.name ?
Шаблонизируй компоуз файл и приписывай эту переменную )
Aleksey
@antitrustx пишет:
Всем привет, ребзи есть какой то инструмент научить переменные в docker-compose использовать имя докер контейнера в котором она используется ? чтото типа this.name ?
о! это как сервис ? можно я тоже тебе напишу в приват мысли которые надо озвучить а ты сделаешь это якобы от имени ну скажем @gecube
Dan
Я не против